Por Norberto J. de la Mata

La Asociación Española de Normalización (AENOR) ha publicado en mayo de 2017 la nueva Norma UNE 19601 sobre la adopción de sistemas de gestión de compliance penal que, inevitablemente, hay que poner en relación, primero, con la normativa penal promulgada en 2015 en relación con la responsabilidad penal de las personas jurídicas; segundo, con la posibilidad de excluir dicha responsabilidad si se adoptan y ejecutan planes de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir delitos o reducir de forma significativa su comisión y, tercero, con la posibilidad de que estos modelos puedan (o deban) seguir en su elaboración las directrices que marca dicha Norma.

Es importante señalar que la Norma se esfuerza en buscar esta conexión. Téngase en cuenta que no es lo mismo indicar que será conveniente elaborar unas directrices de gestión empresarial que indiquen un compromiso de cumplimiento normativo que apuntar que las mismas permitirán, incluso, la elusión de una posible responsabilidad penal. Y así, en su Anexo A (Informativo) vincula las exigencias del artículo 31 bis 5 numerales 1 a 6 (en expresión del propio Anexo) del Código Penal (CP) a los requisitos de la misma.

Hasta aquí todo correcto. Ahora bien, a la Norma UNE 19601 hay que darle la importancia que tiene. Poca o mucha. Pero no más. ¿Por qué digo esto?

Estamos hablando de responsabilidad por hechos delictivos, o sea, responsabilidad penal. Y estamos hablando de una posible exención de responsabilidad penal en base a circunstancias distintas de las del art. 20 CP. Exención que define el art. 31 bis 2.1ª CP y explican someramente los arts. 31 bis 2.2ª CP y 31 bis 3 a 6 CP. Puede que el articulado no sea absolutamente concreto (porque no puede serlo). Puede ser que el destinatario de la norma penal (persona jurídica, órgano de administración, órgano de supervisión) tenga dudas sobre si está o no actuando (“cumpliendo”, si se prefiere) como le exige este articulado. Puede que sea insuficiente la explicación de la Circular 1/2016 de la Fiscalía General del Estado. Puede que las resoluciones judiciales no ofrezcan mayor ayuda. Y el destinatario de la norma quiere certezas:

«Éste es mi modelo de cumplimiento. ¿Me sirve o no me sirve? Fíjense que he pagado bastante por su diseño. Y que he contratado a un prestigioso despacho de abogados con el que colaboran como consultores catedráticos de derecho penal expertos en “compliance” (según ellos mismos dicen). Pero sigue sin tener certezas. He hecho lo que se me ha dicho. ¿Será suficiente?»

Y aquí llega AENOR, la Asociación Española de Normalización y Certificación, privada, pero independiente, sin ánimo de lucro (cobrando, sí, por acceder a las normas que ellos mismos crean -¡aunque si se compra la UNE 19601:2017 en distintos idiomas se obtiene un 50% de descuento sobre el precio inicial de 74 euros!-) y dice:

yo ayudo, yo como Asociación con 190 acreditaciones, reconocimientos, etc., les digo a ustedes, señores administradores, cómo tiene que ser ese modelo al que se refiere el legislador penal. Les doy las directrices para que elaboren el modelo en cuestión (por esos 74 euros), además les ofrezco un curso de siete horas (por 495 euros + IVA, incluye los 74 euros de la Norma) y, si lo desean, les doy la Titulación de Técnico de Compliance (por 1.200 euros + IVA) o incluso de Especialista en Compliance (por 1.900 euros + IVA).

Y, claro, aquí todos nos volvemos locos. Directivos, administradores, consultores, asesores jurídicos de empresa corriendo a buscar la certificación correspondiente. Que no está mal. Porque cuanta más prevención haya, mejor será. Y si además un agente externo, “independiente”, nos dice (cobrando, claro) que lo que hemos hecho está todo bien hecho, mejor todavía. Pero, insisto, no confundamos al Comité técnico CTN 307 Gestión de riesgos que elabora la Norma con el legislador penal ni confundamos la certificación con la exención de responsabilidad penal; que ésta sólo nos la va a garantizar el juzgador. Como la propia norma UNE señala, su cumplimiento “no asegura la exoneración o atenuación automática de la responsabilidad penal de la persona jurídica” (p. 8), algo evidente. Lo que hace, según ella misma precisa, es “ayudar” a “desarrollar sistemas de gestión de compliance penal”.

Perfecto. Además de “servir de referencia para los tribunales de justicia y demás operadores jurídicos a la hora de facilitarles el establecimiento de criterios para valorar el cumplimiento de las personas jurídicas u otras organizaciones de las exigencias previstas en la legislación penal”. También de acuerdo. Pero no más que otros modelos, distintos, elaborados de forma competente.

Es interesante la definición que da del “órgano de compliance penal” en el apartado 3.21 en la línea de lo que dispone el art. 31 bis apartados 2.2ª y 3. Igualmente la advertencia del apartado 4.4 acerca de la imposibilidad de eliminar completamente el riesgo penal y de la imposibilidad de exigir a un sistema de gestión de compliance penal que sea capaz de prevenir, detectar y gestionar todos los riesgos penales. Asimismo las funciones que en el apartado 5.1.1 se atribuyen al órgano de gobierno (de administración, según el Código Penal) en relación con la adopción, implementación y dotación del sistema y con la creación del órgano de compliance. Y la responsabilidad que se atribuye en el apartado 5.1.2 a este órgano, en particular, en lo que concierne a su labor de impulso, supervisión e información. El resto de las directrices, abundantes, en línea con lo que se viene demandando por los monografistas del tema (véanse, por ejemplo, el Manual de cumplimiento en la empresa de Nieto y otros autores, Tirant, 2015 o el reciente Memento Experto Compliance Penal de Juanes y otros autores, Lefebvre, 2017), que a estas alturas ya han escrito mucho al respecto.

Pero no es un Manual de prevención. La Norma no define el Modelo; indica cómo se tiene que elaborar éste. Dice que hay que sancionar, pero no dice cómo. Dice que hay que formar, pero no dice cómo. Dice que hay que documentar, pero no dice cómo. Dice que hay que informar, pero no dice con qué periodicidad. Efectivamente, estamos ante directrices que cada órgano de administración, debidamente asesorado, “podrá” tener en cuenta para una más fácil adopción de un modelo de prevención adecuado. Pero esto es algo de lo que ya se disponía leyendo lo publicado al respecto.

¿Con qué se cuenta ahora entonces? Con un Texto en cuya elaboración han participado 36 vocales; pero ¿expertos representativos de los diferentes grupos de interés del ámbito del compliance penal como ha dicho el Consejo General de la Abogacía? ¿Incluyendo como “expertos penales” a asociaciones de consumidores, sindicatos, Transparencia internacional, empresas, despachos de abogados, consultoras, asociaciones como ASCOM y CUMPLEN? Algo se me escapa.

¿Por qué importa realmente la UNE 19601?

En mi opinión, no por lo que en ella se dice. Como digo no es algo que no se haya dicho ya. Sino porque las personas jurídicas (las más diligentes) van a correr para buscar la certificación de la tercera parte independiente del modelo implementado con estas directrices (entidades de certificación acareditada). Y porque la Circular 1/2016 considera que las certificaciones podrán valorarse como elemento adicional de la eficacia del modelo a efectos de exoneración. Y porque no es lo mismo ir a un procedimiento penal con un modelo “certificado” que con un modelo “casero”; igual que no lo es ir con un modelo adoptado por un “despacho de prestigio” que con un modelo creado por un joven abogado, listo, estudioso, conocedor de la materia pero sin nombre y aunque en él haya confiado un empresario. No está mal que esté la UNE 19601, pero, ojo, que no sirva para sustituir la labor del juzgador.


 

Foto JJBose